Facebook Instagram
EN

Noticias

Fraude del cambio de IBAN en facturas y pago a cuenta fraudulenta en transferencias bancarias

Fraude del cambio de IBAN en facturas

Fraude del cambio de IBAN en facturas: ¿quién soporta la pérdida tras la reciente sentencia del Tribunal Supremo?

El fraude consistente en la modificación del IBAN en facturas se ha convertido en una de las modalidades más habituales de ciberdelincuencia empresarial, afectando tanto a grandes compañías como a pequeñas y medianas empresas, así como a profesionales autónomos. Su consecuencia puede resultar especialmente grave: el pagador realiza la transferencia convencido de haber cumplido correctamente su obligación, pero el dinero acaba en manos de un tercero ajeno a la relación comercial.

La cuestión jurídica que surge en estos casos es clara: ¿quién debe asumir la pérdida económica?

Cómo funciona este tipo de fraude

El mecanismo suele ser relativamente sencillo. El delincuente accede de forma ilícita al correo electrónico del proveedor, del cliente o incluso de algún intermediario. Desde ahí intercepta la factura legítima y modifica el número de cuenta bancaria. En otras ocasiones, envía un correo electrónico aparentemente auténtico comunicando un supuesto cambio de IBAN.

El pagador, confiando en la normalidad de la operación, realiza la transferencia. La orden queda correctamente autorizada mediante los sistemas de autenticación del banco. Sin embargo, días o semanas después, el proveedor reclama el pago al no haber recibido el importe.

Para entonces, el dinero ya ha sido transferido a cuentas utilizadas para el fraude y redistribuido rápidamente, lo que dificulta notablemente su recuperación.

La reciente STS 1733/2025, de 27 de noviembre

El Tribunal Supremo ha abordado recientemente esta problemática en su Sentencia 1733/2025, estableciendo un criterio especialmente relevante: cuando la orden de transferencia ha sido correctamente autorizada y ejecutada conforme a los sistemas de seguridad exigidos, la entidad bancaria no responde automáticamente del perjuicio sufrido.

El Alto Tribunal parte de una premisa básica: la entidad financiera cumple su obligación al ejecutar una orden de pago válidamente autorizada por su cliente. Si no existe un fallo técnico, una vulneración de los protocolos de seguridad o una irregularidad en la autenticación, no puede trasladarse al banco el riesgo derivado de una estafa externa.

Además, cada vez es más frecuente que las entidades incorporen avisos cuando el nombre del beneficiario no coincide con el titular de la cuenta. Si el cliente confirma la operación pese a esa advertencia, el nivel de diligencia exigible recae principalmente sobre él.

¿Se extingue la deuda?

Una de las consecuencias más relevantes es que, si el proveedor no recibe el dinero, la deuda no se considera extinguida.

Desde el punto de vista jurídico, el pago solo libera al deudor cuando lo recibe el acreedor legítimo. Por tanto, el pago efectuado a un tercero no extingue la obligación, lo que permite al proveedor reclamar nuevamente el importe de la factura, aun cuando el pagador ya haya sufrido la pérdida económica.

La diligencia exigible al pagador

La jurisprudencia reciente tiende a apreciar falta de diligencia cuando el pagador no verifica adecuadamente un cambio de cuenta bancaria. Entre las comprobaciones que se consideran razonables destacan:

  • Confirmar telefónicamente el cambio de cuenta con el proveedor.
  • Solicitar protocolos internos para validar modificaciones de datos bancarios.
  • Establecer protocolos internos para validar modificaciones de datos bancarios.
  • Implantar sistemas de doble verificación en pagos de importe significativo.

En el contexto actual, la diligencia empresarial ya no se limita a ordenar el pago, sino que incluye verificar la autenticidad de los datos bancarios utilizados.

¿Puede existir responsabilidad compartida?

Cada situación debe analizarse de forma individual. La responsabilidad puede variar en función del origen de la brecha de seguridad.

Si el acceso fraudulento se produjo en los sistemas del proveedor por falta de medidas básicas de protección, podría apreciarse una concurrencia de responsabilidades. Del mismo modo, si la entidad bancaria incumplió sus obligaciones de control al permitir la operativa de cuentas empleadas para el fraude sin las verificaciones adecuadas, también podría examinarse su eventual responsabilidad.

Cuando no es posible determinar el origen del ataque informático, los tribunales suelen valorar quién se encontraba en mejor posición para evitar el daño.

Una cuestión de prevención jurídica

La doctrina reciente del Tribunal Supremo transmite un mensaje claro: en el entorno digital actual, la gestión del riesgo forma parte de la diligencia empresarial ordinaria.

El fraude del cambio de IBAN no es únicamente un problema tecnológico, sino también organizativo y jurídico. La implantación de protocolos de verificación, la formación del personal y la revisión de los procedimientos de pago constituyen herramientas esenciales para prevenir este tipo de situaciones.

Porque, en muchos casos, la diferencia entre un pago válido y una pérdida económica difícilmente recuperable puede depender de una simple comprobación previa.

Olga Martínez

Olga Martínez

Olga Martínez, abogada y Partner de TRIAL Legal España, ejerce en Madrid con especial dedicación al derecho digital, responsabilidad civil y riesgos tecnológicos. Asesora a empresas en prevención jurídica, ciberseguridad y litigación derivada de fraudes y conflictos contractuales.

Comparte:

¿Más información?

Contáctanos

Con presencia en Ciudad de Panamá y Madrid.

Facebook Instagram

Oficinas

Panamá

Calle Beatriz de Cabal,
Edif. Proncosa II, piso 4, Oficina B.
Ciudad de Panamá.


España
Calle Serrano 19, 4D 28001, Madrid

Contáctenos

  • Flag of Panama (+507) 209-0896 / 209-2715
  • (+34) 912 779 686
  • info@trialegal.net
Todos los derechos reservados - Trial Legal Panamá
Diseño por Wasabiden